Менде тапсырма болды - D-Link DFL маршрутизаторында wan интерфейсімен байланысы жоқ IP мекенжайында қызметті жариялау. Бірақ мен Интернетте бұл мәселені шешетін нұсқауларды таба алмадым, сондықтан мен өзімді жаздым.
Бастапқы деректер (барлық мекенжайлар мысал ретінде алынған)
IP бар ішкі желідегі веб-сервер: 192.168.0.2 (порт 8080).
Провайдер бөлген сыртқы ақ мекенжайлар пулы: , провайдер шлюзі: 5.255.255.1, қалған «біздің» мекенжайлар 5.255.255.2-14.
Мекенжайларды берсін 5.255.255.2-10 біз оны NAT және басқа қажеттіліктер үшін пайдаланамыз. Провайдер сілтемесі портқа қосылған wan1. Интерфейс үшін wan1 мекенжайы байланысты 5.255.255.2.
Тапсырма: жалпыға ортақ мекенжайға ішкі веб-серверді жариялау 5.255.255.11, портта 80.
Шешім қысқаша
Интерфейс мекенжайына сәйкес келмейтін IP-де қызметті жариялау үшін сізге қажет:
- Маршрутизаторға жарияланған IP-ді пайдаланып ішкі іздеу керек екенін көрсетіңіз .
- Жариялау маршрутизатор көршілерге жарияланған мекенжай оған тиесілі деп жауап беруі үшін.
- брандмауэр ережесі (), ол маршрутизатордың ішінде тағайындалған мекенжайды соңғы сервердің мекенжайына өзгертеді.
- Сыртқы интерфейстен маршрутизатор ішіндегі жарияланған мекенжайға қосылуға мүмкіндік беретін желіаралық қалқан ережесі (Рұқсат ету).
Ал енді әрбір нүкте туралы аздап
Дайындау
I. Алдымен, барлық қажеттіліктеріміз үшін «Нысандарды» жасайық (енді мен веб-интерфейс үшін процесті көрсетемін, менің ойымша, консольмен жұмыс істейтіндер әрекеттерді консоль пәрмендеріне тасымалдай алады).
1. Мекенжай кітабына екі ipv4 мекенжайын қосыңыз:
веб-сервер = 192.168.0.2
қоғамдық веб-сервер = 5.255.255.11
2. Содан кейін қызметтер тізіміне порттарды қосамыз:
int_http = tcp:8080
Порт tcp:80 деп аталатын қызметтер тізімінде бұрыннан бар HTTP, шектеуі бар 2000 сеанстар, шекті реттеуге болады.
ohІшкі желіге сервер портын қосудың қажеті жоқ болып шықты, бірақ мен оны қалдырамын, себебі... мысал жалпы порт үшін қажет болуы мүмкін, бірақ олар бірдей жолмен қосылады
II. Шешімге тікелей көшейік.
тармақ 1 и 2 біріктіруге болады, өйткені Статикалық маршрутты қосқанда бірден ARP қамтамасыз етуге болады. Шынымды айтсам, мен бұл мүмкіндікті бірден байқамадым және жарияланымды қолмен орнатқан жоқпын; маршрутизаторда да мұндай функция бар.
1. Сонымен, егер сіз әлі маршруттау кестелері мен оларға арналған ережелер тобын жасамаған болсаңыз, онда барлығын негізгі маршруттау кестесінде жасауға болады, ол деп аталады. басты.
Кесте бастыжеліге әдепкі жол болады 5.255.255.0/28 интерфейс үшін wan1. Және бұл бағыт интерфейс параметрлерінде көрсетілген көрсеткішке сәйкес келеді (әдепкі бойынша 100).
Шлюздің пакеттерді интерфейске кері жіберуіне жол бермеу үшін wan1, мекенжайға статикалық маршрут жасау керек қоғамдық веб-сервер интерфейске өзек метрикамен аз 100 (кіші интерфейс көрсеткіші wan1) - содан кейін шлюз оны «ішінен» іздейді.
2. Онда маршрутты жасау кезінде шлюз ARP сұрауларына жауап беретіндей Proxy ARP конфигурациялауға болады. Proxy ARP қойындысында WAN интерфейсін қосыңыз.
маршрутты жасаңыз, бірақ OK түймесін баспаңыз, бірақ екінші Proxy ARP қойындысына өтіңіз:
ARP, интерфейс қосыңыз wan1:
3.Соңында, біз NAT және брандмауэр орнатуға көшеміз (бұл қазірдің өзінде жеткілікті егжей-тегжейлі сипатталған. ).
Біз интерфейстен пакетте SAT ережесін жасаймыз wan1 тағайындау мекенжайымен қоғамдық веб-сервер тағайындалған порт HTTP, біз оған интерфейс үшін маршрутты теңшедік өзек, тағайындалған мекенжайды серверіміздің ішкі мекенжайымен ауыстырыңыз веб-сервер және порт қосулы 8080.
4. Келесі қадам осындай пакетке рұқсат беру болып табылады - ұқсас параметрлері бар Рұқсат ету ережесін жасаңыз (SAT ережесін көшіріп, әрекетті Рұқсат етумен ауыстыру ыңғайлы).
нотаБұл жағдайда ережелер дәл осы тәртіпте болуы керек: алдымен SAT, содан кейін Рұқсат етіңіз:
SAT ережесі рұқсат етілген ережеден жоғары болуы керек екенін есте сақтаңыз. Бұл пакет рұқсат етуші немесе бас тарту ережесіне түскенде, «Ережелер» кестесінен әрі қарай өтпейді.
Бұл жағдайда рұқсат ету ережесі жалпы порт пен мекенжай үшін де жасалады:
Рұқсат етуші ережедегі протокол, интерфейс және желі параметрлері «SAT» әрекеті бар ережедегідей екенін ескеріңіз.
Менің ойымша, пакет SAT ережесімен бір жол бұрын өңделген және тағайындалған мекенжай мен порт жаңа болған сияқты, бірақ жоқ, ауыстыру барлық басқа ережелер өңделгеннен кейін біраз уақыттан кейін орын алатын сияқты.
В SAT функционалдығы терең ашылды, ол көптеген қызықты мүмкіндіктерді ұсынады. Менің мақсатым осы нұсқаулықта және басқа нұсқауларда қарастырылмаған мәселені қамту болды. Нұсқаулар пайдалы және түсінікті болады деп үміттенемін.
Ақпарат көзі: www.habr.com